Metode Restrukturisasi Jaringan untuk jaringan Double-NAT


10

Karena serangkaian keputusan desain jaringan yang buruk (kebanyakan) dibuat bertahun- tahun yang lalu untuk menghemat beberapa dolar di sana-sini, saya memiliki jaringan yang jelas-jelas dirancang secara optimal. Saya mencari saran untuk memperbaiki situasi yang kurang menyenangkan ini.

Kami nirlaba dengan departemen IT berbasis Linux dan anggaran terbatas. (Catatan: Tidak ada peralatan Windows yang kami jalankan yang melakukan apa pun yang berbicara ke Internet dan kami juga tidak memiliki admin Windows di staf.)

Poin-poin penting:

  • Kami memiliki kantor utama dan sekitar 12 situs terpencil yang pada dasarnya menggandakan NAT subnet mereka dengan sakelar yang terpisah secara fisik. (Tidak ada VLAN dan kemampuan terbatas untuk melakukannya dengan sakelar saat ini)
  • Lokasi-lokasi ini memiliki subnet "DMZ" yang NAT'd pada subnet 10.0.0 / 24 yang ditetapkan secara identik di setiap situs. Subnet ini tidak dapat berbicara dengan DMZ di lokasi lain karena kami tidak merutekannya di mana pun kecuali antara server dan "firewall" yang berdekatan.
  • Beberapa lokasi ini memiliki beberapa koneksi ISP (T1, Cable, dan / atau DSL) yang kami rutekan secara manual menggunakan IP Tools di Linux. Semua firewall ini berjalan pada jaringan (10.0.0 / 24) dan sebagian besar firewall kelas "pro-sumer" (Linksys, Netgear, dll.) Atau modem DSL yang disediakan ISP.
  • Menghubungkan firewall ini (melalui sakelar sederhana yang tidak dikelola) adalah satu atau lebih server yang harus dapat diakses secara publik.
  • Terhubung ke subnet 10.0.0 / 24 kantor utama adalah server untuk email, tele-commuter VPN, server VPN kantor jarak jauh, router utama ke subnet 192.168 / 24 internal. Ini harus berupa akses dari koneksi ISP tertentu berdasarkan jenis lalu lintas dan sumber koneksi.
  • Semua perutean kami dilakukan secara manual atau dengan pernyataan rute OpenVPN
  • Lalu lintas antar-kantor melewati layanan OpenVPN di server 'Router' utama yang melibatkan NAT'ing sendiri.
  • Situs jarak jauh hanya memiliki satu server yang diinstal di setiap situs dan tidak dapat membeli beberapa server karena keterbatasan anggaran. Server ini adalah semua server LTSP beberapa terminal 5-20.
  • Subnet 192.168.2 / 24 dan 192.168.3 / 24 sebagian besar tetapi TIDAK sepenuhnya pada switch Cisco 2960 yang dapat melakukan VLAN. Sisanya adalah switch DLink DGS-1248 yang saya tidak yakin saya percaya cukup baik untuk digunakan dengan VLAN. Ada juga beberapa kekhawatiran internal yang tersisa tentang VLAN karena hanya staf jaringan senior yang memahami cara kerjanya.

Semua lalu lintas internet biasa melewati server router CentOS 5 yang pada gilirannya mengubah NAT subnet 192.168 / 24 menjadi subnet 10.0.0.0/24 sesuai dengan aturan perutean yang dikonfigurasi secara manual yang kami gunakan untuk mengarahkan lalu lintas keluar ke koneksi internet yang tepat berdasarkan pada Pernyataan perutean '-host'.

Saya ingin menyederhanakan ini dan menyiapkan Semua Hal untuk virtualisasi ESXi, termasuk layanan yang dihadapi publik ini. Apakah ada solusi tanpa atau murah yang akan menyingkirkan Double-NAT dan mengembalikan sedikit kewarasan ke kekacauan ini sehingga pengganti saya di masa depan tidak memburu saya?

Diagram Dasar untuk kantor utama: masukkan deskripsi gambar di sini

Ini adalah tujuan saya:

  • Server yang menghadap publik dengan antarmuka pada jaringan 10.0.0 / 24 tengah yang akan dipindahkan ke subnet 192.168.2 / 24 pada server ESXi.
  • Singkirkan NAT ganda dan dapatkan seluruh jaringan kami di satu subnet tunggal. Pemahaman saya adalah bahwa ini adalah sesuatu yang perlu kita lakukan di bawah IPv6, tapi saya pikir kekacauan ini menghalangi.

F / W 1 - F / W3 semuanya memiliki subnet yang sama, bukan? Atau topeng mereka lebih kecil dari /24? Atau apakah mereka memiliki jaringan yang benar-benar terpisah untuk klien LTSP mereka, dan server terhubung ke kedua jaringan?
Mark Henderson

Ya, semua subnet dipisahkan secara fisik dan ditangani sebagai label. Bahkan, ini bahkan lebih disederhanakan karena 192.168.3 / 24 sebenarnya dialihkan melalui server dengan antarmuka 2/24 dan 3/24 sebelum dialihkan ke workstation LTSP di belakang server ITU.
Magellan

Jawaban:


7

1.) Sebelum pada dasarnya hal lain diluruskan rencana pengalamatan IP Anda. Sangat sulit untuk dinomori ulang, tetapi ini adalah langkah yang diperlukan untuk sampai pada infrastruktur yang bisa diterapkan. Sisihkan supernet yang besar dan mudah dirangkum untuk workstation, server, situs jarak jauh (dengan IP unik, tentu saja), jaringan manajemen, loopback, dll. Ada banyak ruang RFC1918 dan harganya tepat.

2.) Sulit untuk memahami bagaimana cara mengeluarkan L2 di jaringan Anda berdasarkan diagram di atas. VLAN mungkin tidak diperlukan jika Anda memiliki jumlah antarmuka yang cukup di berbagai gateway serta jumlah switch yang memadai. Setelah Anda merasa # 1, masuk akal untuk menyetujui kembali pertanyaan L2 secara terpisah. Yang mengatakan, VLAN bukan set yang kompleks atau novel teknologi dan tidak perlu yang rumit. Sejumlah pelatihan dasar telah dilakukan, tetapi setidaknya kemampuan untuk memisahkan saklar standar menjadi beberapa kelompok pelabuhan (yaitu tanpa trunking) dapat menghemat banyak uang.

3.) Host DMZ mungkin harus ditempatkan ke jaringan L2 / L3 mereka sendiri, tidak digabung dengan workstation. Idealnya Anda akan memiliki router perbatasan Anda terhubung ke perangkat L3 (satu set router lain? L3 switch?) Yang, pada gilirannya, akan menghubungkan jaringan yang berisi antarmuka server eksternal Anda (host SMTP, dll). Host ini kemungkinan akan terhubung kembali ke jaringan yang berbeda atau (kurang optimal) ke subnet server umum. Jika Anda meletakkan subnet dengan tepat, maka rute statis yang diperlukan untuk mengarahkan lalu lintas masuk harus sangat sederhana.

3a.) Cobalah untuk memisahkan jaringan VPN dari layanan masuk lainnya. Ini akan membuat segalanya lebih mudah sejauh pemantauan keamanan, pemecahan masalah, akuntansi, dll.

4.) Pendek mengkonsolidasikan koneksi Internet Anda dan / atau merutekan satu subnet melalui beberapa operator (baca: BGP) Anda akan memerlukan lompatan menengah sebelum router perbatasan Anda untuk dapat mengarahkan lalu lintas masuk dan keluar secara tepat (seperti Saya curiga Anda sedang melakukannya saat ini). Ini sepertinya sakit kepala yang lebih besar daripada VLAN, tapi saya kira itu semua relatif.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.